Aller au contenu principal
A partir d'une certaine taille, une PME devrait définir une politique de mots de passe. © Getty Images/iStockphoto

Dix règles pour assurer votre sécurité informatique

Les infections de logiciel sont toujours plus variées et sophistiquées. Pour garantir la bonne marche de ses affaires, mieux vaut prévenir que guérir.

Choix des mots de passe, mise à jour des systèmes, sécurité des lieux physiques, chiffrement des données sensibles… Les comportements à adopter pour se prémunir de tentatives de hacking ou de l’intrusion d’un virus au sein du parc informatique de son entreprise sont décisifs. Et aucune PME n’est à l’abri d’une erreur commise par un employé distrait. Les conseils essentiels à suivre pour éviter toute mauvaise surprise.

1. Sensibiliser le personnel

Pour Alexandre Karlov, professeur en sécurité à l’Institut des technologies de l’information et de la communication à la HEIG-VD, la sensibilisation du personnel aux cyberrisques peut se faire via de courtes formations en ligne ou des workshops. Elle permet de se protéger contre des attaques par mail de type phishing (usurpation d’identité), ainsi que des attaques «social engineering» (escroquerie en ligne) plus ciblées. Par ailleurs, il peut être utile de vérifier régulièrement si le personnel reste attentif en simulant une attaque. Par exemple en envoyant des e-mails avec des liens malveillants pour constater combien de personnes tombent dans le piège.

2. Mettre à jour les systèmes

«De nombreuses infections (mal-wares) surviennent en exploitant des vulnérabilités connues, qui peuvent être corrigées par des mises à jour régulières», constate Sergio Alves Domingues, directeur technique chez SCRT, une société basée à Préverenges (VD) spécialisée dans la sécurité informatique. Il convient aussi de s’assurer fréquemment que les systèmes (au niveau des postes, des serveurs et des applications) bénéficient des dernières mises à jour de sécurité. Limiter certains sites à visiter en fonction des activités de l’entreprise peut également se révéler judicieux.

3. Déployer un système de monitoring et chiffrer les données sensibles

En fonction de la maturité, de la taille et du budget de l’entreprise, Alexandre Karlov conseille de déployer un système de monitoring du réseau afin de détecter des attaques, ainsi que des tentatives d’exfiltration des données. La société peut aussi faire appel à un SOC (Security Operations Center) externe. L’expert recommande par ailleurs de chiffrer les données sensibles sur les serveurs et les postes clients (données financières, RH, etc.). «Si l’entreprise traite des données clients, il faut s’assurer que les mesures nécessaires sont prises en termes de chiffrement et de protection des mots de passe clients afin de limiter l’exposition de ces données lors d’une attaque, et surtout vérifier si les différentes règles et législations en matière de protection de données clients sont respectées.»

4. Choisir des mots de passe complexes

Pour Sergio Alves Domingues, un bon mot de passe doit être long et complexe, par exemple dix caractères avec au minimum une minuscule, une majuscule, un chiffre et un caractère spécial: «Cette complexité sert à empêcher les attaques de type force brute, dans lesquelles l’attaquant essaie d’énumérer toutes les combinaisons de mots de passe possibles.» De même, le mot de passe ne doit pas être basé sur un mot (nom commun, prénom, nom de famille, lieu), car il pourra alors être trouvé à l’aide d’une attaque par dictionnaire. Il est recommandé de choisir des «phrases de passe», soit des phrases facilement mémorisables qui permettent de remplir les conditions de complexité.

5. Ne pas réutiliser ses mots de passe

Il est aussi important de ne pas utiliser le même mot de passe sur les différents comptes. Idéalement, chaque compte (e-mail, e-banking, forums, sites de réservation, etc.) devrait compter un mot de passe différent et unique. Des outils de gestion existent en ligne et peuvent être utilisés. Par ailleurs, il faut s’assurer que les mots de passe par défaut sont mis à jour régulièrement sur les routeurs et autres périphériques, notamment au sein des start-up. Il faut changer les mots de passe à des intervalles réguliers sur les services et les postes de travail que les employés utilisent. A partir d’une certaine taille, il peut se révéler judicieux de définir une politique pour les mots de passe.

6. Ne pas négliger la sécurité physique des lieux

La sécurité informatique d’une entreprise, qu’il s’agisse d’une start-up ou d’une grosse PME, passe aussi par une bonne sécurisation du matériel et de l’accès aux locaux. Alexandre Karlov recommande d’établir une liste des règles à suivre, comme verrouiller l’écran lorsqu’on quitte le poste ou fermer la porte à clé lorsque personne ne reste dans les locaux. Cette liste doit être communiquée à l’ensemble des collaborateurs. Il faut aussi s’assurer que le réseau wi-fi soit protégé avec un protocole de type WPA.

7. Ne jamais interagir avec le contenu d’e-mails suspects

C’est une règle bien connue, mais il est utile de la rappeler: aucun employé ne doit cliquer sur les liens contenus dans des e-mails non sollicités (tels que les spams) ou suspects, ni ouvrir les fichiers attachés. Sergio Alves Domingues souligne que lors de connexions sur un site en HTTPS (protocole de transfert hypertexte sécurisé), il ne faut jamais ignorer les messages d’erreur relatifs au certificat du site. Cela peut indiquer qu’un attaquant est en train d’intercepter la communication.

8. Effectuer des tests réguliers

Lorsque l’entreprise développe ses propres applications ou déploie des infrastructures, il est vivement recommandé d’effectuer des tests d’intrusion à des intervalles réguliers, par exemple en mandatant des entreprises externes. «Il faut aussi définir une politique de back-up et effectuer des tests mensuels, afin de s’assurer qu’elle fonctionne et qu’il est possible de récupérer les données critiques», indique Alexandre Karlov. 

9. Définir un processus de réponse

Définir un processus de réponse à un incident de sécurité informatique et nommer des personnes responsables qui vont l’effectuer est également utile. Dès cinq à sept personnes, il convient de nommer un responsable de la sécurité informatique (pas nécessairement à plein-temps), en établissant une liste de responsabilités et de tâches à effectuer.

10. Etablir une politique de gestion de risques

En fonction de la taille et du budget de la société, on doit commencer à établir une politique de gestion de risques de sécurité informatique en suivant des frameworks connus (ISO 27001, Octave, etc.). «Cela permet d’avoir une vue très claire sur les biens à protéger ainsi que sur les menaces potentielles avec les dommages et impacts possibles, relève Alexandre Karlov. Mais cela implique aussi souvent un travail à plein-temps pour le responsable sécurité.» Enfin, pour les grosses entreprises, il est judicieux de définir une politique de sécurité pouvant inclure les différents niveaux de sensibilité de documents et de données, ainsi que la politique de leur traitement.